Radiant Capital 被黑：黑客如何利用 PDF 窃取 5000 万美元

5000万美元的黑客事件对去中心化金融行业的严峻警告

最近对Radiant Capital的攻击的复杂性和精确性揭示了去中心化金融项目中另一层的脆弱性，尽管项目本身已做好安全措施。Radiant Capital是一个基于Layerzero构建的去中心化跨链借贷协议。

10月16日，Radiant Capital遭遇了一次入侵，约5000万美元被窃取。安全专家和知名开发者，如@bantg都对攻击的复杂性表示担忧。正如@bantg所说，“这样的攻击水平真的很可怕。据我所知，受损的签署者遵循了最佳实践。”

Radiant Capital最近发布的事件报告和OneKeyHQ发布的X线索展示了对这次攻击的逐步分析，报告强烈将此黑客事件与朝鲜黑客联系起来。

攻击始于9月11日，当时一位Radiant Capital开发者收到了一条来自冒充受信任的前承包商的Telegram消息。根据消息的内容，假冒者称该承包商正在寻找智能合约审计的新工作机会。消息要求对该承包商作品发表评论，并提供了一个PDF压缩包链接，详细说明了他们的下一个任务。黑客甚至仿造了承包商的合法网站以增强可信度。

压缩包中包含一个伪装的可执行文件名为INLETDRIFT。打开后，它在开发者的macOS设备上安装了恶意软件，使攻击者可以访问开发者的系统。该恶意软件旨在与黑客控制的服务器通信。

不幸的是，受损的文件被用于分享给其他团队成员以征求反馈，进一步传播了恶意软件。攻击者利用他们的访问权限执行了一次中间人(MITM)攻击。尽管Radiant团队依赖Gnosis Safe多签钱包进行安全控制，恶意软件拦截并操纵了交易数据。在开发者的屏幕上，交易显示正常，但黑客用恶意指令替换了这些数据，瞄准借贷池合约的所有权。

通过利用Ledger钱包中的盲签漏洞，攻击者说服开发者授权执行transfer ownership()调用，使他们获得了Radiant资金的控制权。在不到三分钟内，黑客便将资金转移一空，删除了后门并抹去了他们活动的痕迹，使调查人员几乎没有证据可用。

这次攻击突显了网络威胁日益增长的复杂性，例如导致比特币漏洞的DMM事件，这事件导致了日本加密货币交易所的关闭及重要教训。其中之一是团队必须转向在线协作工具以降低恶意软件风险。完全避免从外部来源下载未验证的文件。

前端交易验证至关重要但易于被欺骗。项目应考虑使用高级验证工具和供应链监控以检测篡改。同时，硬件钱包常常缺乏详细的交易摘要，增加了风险。增强对多重签名交易的支持可以减少这种风险。

加强资产管理，采用时间锁定和管理框架也能有助于推迟关键的资金转移，使团队可以在资产丢失前识别并响应异常情况。

Radiant Capital的黑客事件是对即使是采用最佳实践的项目仍存的脆弱性的严峻提醒。随着去中心化金融生态系统的增长，攻击者的创意也越来越强。全行业的警惕、更强的安全协议和稳固的资产管理对于防止此类事件的发生是至关重要的。

Radiant DAO继续支持Mandiant的调查，并与Zeroshadow和美国法律机构合作冻结被窃资产。Radiant还表达了其愿意分享得出的经验教训，以帮助整个行业提高安全标准。